<<< JPCERT/CC WEEKLY REPORT 2013-09-19 >>>
■09/08(日)〜09/14(土) のセキュリティ関連情報
目 次
【1】Microsoft 製品の複数の脆弱性に対するアップデート (緊急)
【2】Adobe の複数の製品に脆弱性
【3】Apple OS X に複数の脆弱性
【4】サイボウズ Office にクロスサイトスクリプティングの脆弱性
【5】ChamaCargo にクロスサイトスクリプティングの脆弱性
【6】セミナー「ネットワーク・セキュリティ・インフラの全貌」のお知らせ
【今週のひとくちメモ】流行の話題に便乗した攻撃に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr133701.txt
https://www.jpcert.or.jp/wr/2013/wr133701.xml
【1】Microsoft 製品の複数の脆弱性に対するアップデート (緊急)
情報源
US-CERT Alert (TA13-253A)
Microsoft Updates for Multiple Vulnerabilities
https://www.us-cert.gov/ncas/alerts/TA13-253A
概要
Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、権限を昇格したりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Microsoft サーバー ソフトウェア - Internet Explorer この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA13-253A
Microsoft 製品の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-253A/index.htmlマイクロソフト株式会社
2013 年 9 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-sep独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(9月)
https://www.ipa.go.jp/security/ciadr/vul/20130911-ms.html警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-067,068,069,070,071,072,073,074,075,076,077,078,079)
https://www.npa.go.jp/cyberpolice/topics/?seq=12257JPCERT/CC Alert 2013-09-11
2013年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130037.html
関連文書 (英語)
Microsoft Security TechCenter
Microsoft Security Bulletin Summary for September 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-sepWindows Server
Windows Server Update Services
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
【2】Adobe の複数の製品に脆弱性
情報源
Adobe Security Bulletin
Security updates available for Adobe Flash Player
https://www.adobe.com/support/security/bulletins/apsb13-21.htmlAdobe Security Bulletin
Security updates available for Adobe Reader and Acrobat
https://www.adobe.com/support/security/bulletins/apsb13-22.htmlAdobe Security Bulletin
Security update available for Adobe Shockwave Player
https://www.adobe.com/support/security/bulletins/apsb13-23.html
概要
Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe Reader - Adobe Acrobat - Adobe Shockwave Player この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
JPCERT/CC Alert 2013-09-11
Adobe Flash Player の脆弱性 (APSB13-21) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130038.htmlJPCERT/CC Alert 2013-09-11
Adobe Reader 及び Acrobat の脆弱性 (APSB13-22) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130039.html
【3】Apple OS X に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#97033473
Apple OS X における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU97033473/index.html
概要
Apple OS X には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - OS X Mountain Lion v10.8.5 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに OS X を更新すること で解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple
About the security content of OS X Mountain Lion v10.8.5 and Security Update 2013-004
http://support.apple.com/kb/HT5880
【4】サイボウズ Office にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#53014207
サイボウズ Office におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53014207/index.html
概要
サイボウズ Office には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ Office 9.3.0 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ Office を更新することで解決します。詳細については、サイボウズが提供する 情報を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
任意のURLパーツの編集ダイアログでのプレビュー動作にXSS【CY13-009-001】(2013/09/09)
http://cs.cybozu.co.jp/information/20130909up11.php
【5】ChamaCargo にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#77455005
ChamaCargo におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN77455005/index.html
概要
ChamaCargo には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - ChamaCargo v7.0000 およびそれ以前 この問題は、ChamaNet が提供する修正済みのバージョンに ChamaCargo を更新 することで解決します。詳細については、ChamaNet が提供する情報を参照して 下さい。
関連文書 (日本語)
ChamaNet
高機能ショッピングカート「ChamaCargo」
http://www.chama.ne.jp/cart.htm
【6】セミナー「ネットワーク・セキュリティ・インフラの全貌」のお知らせ
情報源
マイナビニュース
ネットワーク・セキュリティ・インフラの全貌
http://news.mynavi.jp/ad/2013/enterprise/security_infra/index.html
概要
ネットワークの活用、運用上の課題に対し、どのような対策を打つべきか。そ の具体策を解説するセミナー「今そこにある危機を具体的に洗い出し、対策を まとめて解説!ネットワーク・セキュリティ・インフラの全貌」が開催されま す。 JPCERT/CC は、このセミナーにおいて基調講演を行います。 日 時:2013年9月27日(金)13:00 - 17:00 (基調講演)13:00 - 14:00 「サイバー攻撃、される前にできること、されてからできること」 JPCERT/CC 理事 分析センター長 真鍋 敬士 場 所:マイナビパレスサイドビル 東コア9FマイナビルームL 参加費:無料 定 員:100名
■今週のひとくちメモ
○流行の話題に便乗した攻撃に注意
社会的に大きな出来事があると、それに便乗したフィッシング詐欺やマルウエ ア添付メールなどが増加する傾向があります。最近は、2020年の東京オリンピッ ク開催決定や災害による被害などが大きなニュースになっており、これらの話 題に便乗した攻撃活動が行われる可能性があります。 メールや Web 閲覧には危険が伴うことを常に意識し、不審なファイルを開いた り、怪しいサイトにアクセスしたりしないように心掛けましょう。
参考文献 (日本語)
フィッシング対策協議会
利用者向けフィッシング詐欺対策ガイドラインの改訂について
https://www.antiphishing.jp/report/guideline/consumer_guideline2013.htmlJPCERT/CC ひとくちメモ
慈善団体を装った phishing に注意
https://www.jpcert.or.jp/tips/2006/wr062001.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/